Güvenlik uzmanlarına göre, MSI Gaming’in Intel tabanlı aygıt yazılımındaki önemli bir güvenlik özelliği için imza anahtarları sızıntısı, aygıt yazılımı güvenliğine yıllarca gölge düşürebilir ve anahtarları kullanan cihazları siber saldırılara karşı oldukça savunmasız bırakabilir.
Şirket, Dark Reading’e verdiği demeçte, Intel’in 116 MSI ürünü için Intel Boot Guard özel anahtarlarının sızdırıldığı iddiasını “aktif olarak soruşturmaya devam ettiğini” söyledi. Soruşturma, üretici yazılımı tedarik zinciri güvenlik platformu Binarly’nin CEO’su Alex Matrosov’un Mart 2023’te MSI’ye yapılan bir siber saldırının kaynak kodunun sızdırılmasının yanı sıra 57 MSI ürünü için görüntü imzalama özel anahtarlarını içerdiği iddiasının ardından geldi.
“Doğrulandı, Intel OEM özel anahtarı sızdırıldı ve tüm ekosistem üzerinde bir etkiye neden oldu. Görünüşe göre Intel BootGuard, 11th Tiger Lake, 12th Adler Lake ve 13th Raptor Lake” işlemcilere dayalı belirli cihazlarda etkili olmayabilir, tweet attı.
İddia edilen sızıntı, ortaya çıkmakta olan bir fidye yazılımı çetesinin “Money Message” olarak izlenen Tayvan merkezli MSI’yı çifte gasplı bir fidye yazılımı saldırısıyla vurmasından ve saldırı sırasında aygıt yazılımı, kaynak kodu ve veritabanları da dahil olmak üzere 1,5 TB veri çaldığını iddia etmesinden yaklaşık bir ay sonra geliyor. .
Grubun talep ettiği 4 milyon dolarlık fidye ödenmeyince, saldırganlar saldırıda çalınan verileri sızıntı sitelerinde yayınlamaya başladı. Geçen hafta MSI’ın çalınan verileri (şirketin anakartları tarafından kullanılan üretici yazılımının kaynak kodu da dahil) bu sitede ortaya çıktı.
Neden Önemlidir?
Intel Önyükleme Koruması, bilgisayarları, “olası bir saldırganın BIOS değişikliğine karşı korumayı atlaması durumunda meydana gelebilecek”, orijinal olmayan Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) sabit yazılımının çalıştırılmasına karşı korumayı amaçlayan donanım tabanlı bir güvenlik teknolojisidir. Binarly efiXplorer Ekibi, geçen Kasım ayında yayınlanan bir blog gönderisinde açıkladı.
Bu gönderi, Intel’in en son işlemcisinin kod adı olan Alder Lake’in UEFI BIOS’unun yanı sıra ön hazırlık aşamasında Boot Guard’ın ihtiyaç duyduğu anahtar çiftlerinin Ekim ayında sızdırılmasına yanıt olarak geldi.
Tehdit aktörleri, MSI ile ilgili Intel Önyükleme Koruması imzalama anahtarlarını ele geçirirse, MSI anakartları da dahil olmak üzere, satıcı tarafından imzalanmış ve bu nedenle meşru görünen etkilenen cihazlara potansiyel olarak savunmasız ürün yazılımı yükleyebilirler.
Ayrıca, bir güvenlik uzmanına göre BIOS, bir cihazın işletim sisteminden önce bile çalışıyor, bu da savunmasız kodun en temel cihaz düzeyinde mevcut olduğu ve bu nedenle yama yapılmasının veya savunulmasının zor olduğu ve senaryoyu daha da karmaşık hale getirdiği anlamına geliyor.
Siber güvenlik yazılımı şirketi Keeper Security’nin CEO’su ve kurucu ortağı Darren Guccione, Dark Reading’e gönderdiği bir e-postada, “Bu anahtarların nasıl yerleştirildiği ve kullanıldığı nedeniyle, güvenlik yamalarının yüklenmesine yönelik olağan tavsiyeler mümkün olmayabilir.” Dedi.
Sorunu çözmek için, güvenlik ekiplerinin potansiyel olarak “kötü amaçlı yazılım bu anahtarları kullanmaya başlarsa ihlalleri izlemek için standart dışı kontroller” uygulamak zorunda kalacağını belirtiyor. Guccione, “Basit bir güvenlik çözümü olmadan bu, uzun vadede zarar verici bir saldırı vektörü olabilir” diyor.
Gelecekteki Ürün Yazılımı Sorunları
Gerçekten de, güvenlik uzmanlarını sızıntı konusunda endişelendiren şey uzun vadedir. Tehdit aktörlerinin, Intel Önyükleme Koruması imzalama anahtarlarının mevcudiyetine saldıracağını ve bunun önümüzdeki yıllarda büyük bir ürün yazılımı güvenlik sorunu oluşturacağını söylüyorlar.
Bir güvenlik şirketi olan Netenrich’in baş tehdit avcısı John Bambenek, “İmza anahtarlarını çalmak, özellikle de yalnızca aygıt yazılımında güncellenebilen bir şey için (bu, bunu çok az kişinin yapacağı anlamına gelir), genellikle ifşadan yıllar sonra uzun bir dizi olayı beraberinde getirir” diye uyardı. ve operasyon analitiği SaaS firması.
Cybrary’de kıdemli güvenlik araştırmacısı Matt Mullins, yorumu iyi bir noktaya değiniyor: yama döngülerinde genellikle gözden kaçan ve bu nedenle, savunmasızsa, büyük ve tehlikeli bir saldırı yüzeyini temsil eden eski aygıt yazılımının doğasında bulunan güvenlik açığı.
“Çoğu kişinin genel olarak UEFI’ye veya ürün yazılımına yama uygulamadığı düşünülürse, etkilenen kişiler muhtemelen bu cihazlara uygun şekilde yama yapmayı bilemeyeceklerdir” diyor. “Bu konuda kötü niyetli kişilere sağlanan erişim, bazı açılardan SİSTEM veya kök kabuğu almaktan daha kötü.”
Bunun nedeni, imzalama anahtarlarına erişimle, sürücü imzaları gibi sistem korumalarının veya çekirdek düzeyinde veya altındaki kötü niyetli etkinliklerin tespit edilmesinin “özünde geçersiz olacağı çünkü kötü niyetli önyükleme setinin bundan önce/altında yüklenebileceği” diyor.
“Bunun altına yükleyerek, cihaz bütünlüğüyle (G/Ç işlemleri gibi) ilişkili önemli işlemleri kaçırabilir veya atlayabilir ve uygun bellenim flaşı ve yeniden yüklemesi olmadan kendisini etkili bir şekilde kalıcı hale getirebilir” diyor.
Üretici Yazılımını Koruma
Durum vahim görünse de, bir güvenlik uzmanı, etkilenen MSI cihazlarına yönelik genel tehdidin “bir tehdit aktörünün atması gereken adımlar nedeniyle nispeten düşük” olduğunu belirterek, sızıntı haberleriyle su yüzüne çıkan korkuları bastırmaya çalıştı. anahtarlardan yararlanın.
Otomatikleştirilmiş bir IoT siber hijyen sağlayıcısı olan Viakoo’nun CEO’su Bud Broomhead, “Aksine, ürün yazılımı için genellikle dijital imzaları olmayan ve MSI cihazlarından çok daha yüksek ölçekte bulunan IoT/OT cihazlarını düşünün” diyor.
Bununla birlikte uzmanlar, olaydan kaynaklanan riskleri azaltmanın veya bunlara karşı savunma yapmanın yolları olduğunu söylüyor.
Broomhead, IoT/OT dahil tüm dijital varlıklar için güvenilir bir sürece sahip olduğunuzdan emin olmanın iyi bir başlangıç olduğunu söylüyor. Bu arada, izleme ve ağ erişim kontrolü gibi diğer koruma biçimlerinin kullanılması, sızdırılan anahtarların “çok daha büyük bir sömürüye neden olacak şekilde” kullanılmasının önlenmesine yardımcı olacaktır, diye ekliyor.
Bambenek, en son sızıntının aynı zamanda kuruluşlara, hırsızlık riskini azaltmak için ürün yazılımı ve diğer özel anahtarların koddan mümkün olduğunca ayrı tutulması gerektiğini hatırlatma işlevi görmesi gerektiğini belirtiyor.
Mullins, kuruluşların aygıt yazılımı saldırılarına karşı savunmak için alabilecekleri diğer hafifletme önlemleri arasında, genellikle gözden kaçırılan bariz yama uygulamaları yer alır; bu, “öncelikle gelecekteki bu olası saldırıya karşı en iyi savunmadır” diyor Mullins.